Tietosuojapolitiikka

Tietosuojasta huolehtiminen on osa Keskon compliance-toimintaa, riskienhallintaa ja vastuullisia toimintaperiaatteita. Tietosuojapolitiikassa määritellään, kuinka kaikissa Kesko-konsernin toiminnoissa ja toimintamaissa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso.

Tietosuojapolitiikan kattavuus ja tavoitteet

Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeudet henkilötietoja käsiteltäessä.

Tietosuojapolitiikan avulla pyritään turvaamaan kunkin Keskon toimintamaan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät Keskon asiakkaiden, työntekijöiden ja muihin sidosryhmiin kuuluvien henkilöiden oikeudet sekä varmistamaan tietojen käsittelijän oikeudet ja velvollisuuksien noudattaminen henkilötietoja käsiteltäessä. Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin ja ettei tietoja käytetä henkilöä vahingoittavasti.

Tietosuojalla on kiinteä yhteys tietoturvaan. Keskon tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.


Tietojen elinkaari ja käyttö

Henkilötietojen käsittely perustuu henkilön suostumukseen tai laissa määriteltyyn muuhun perusteeseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista.   Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti.

Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomaisesti kerrotuille tai laissa mainituille luovutuksen saajille. Tietoja saatetaan siirtää rekisterinpitäjän sijaintivaltion ulkopuolelle, mikäli kyseistä rekisteriä koskeva lainsäädäntö sallii siirron. Tällöin noudatetaan siirtoa koskevia, kunkin maan lainsäädännössä mahdollisesti säädettyjä menettelyitä.  


Rekisteröityjen informointi

Rekisterinpitäjä on se Kesko-konserniin kuuluva yhtiö, jonka käyttötarkoitusta varten henkilötiedot on kerätty. Kustakin henkilörekisteristä laaditaan paikallisen lainsäädännön edellyttämä dokumentaatio. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio henkilötietojen käsittelystä tietoja kerättäessä sekä mahdollisuuksien mukaan myös muulla tavoin, esim. rekisterinpitäjien verkkosivuilla.

 

Vastuut ja organisointi

Vastuu tietosuojan toteuttamisesta on liiketoiminta- ja konsernijohdolla omissa yksiköissään. Jokaisen keskolaisen tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit.  Kesko-konsernin lakiasioiden ohjauksessa toimii tietosuoja-asiantuntija, joka ohjaa ja kehittää tietosuojan toteutumista konsernissa ja jonka tehtävänä on avustaa liiketoimintayksiköitä tietosuoja-asioissa.

Kukin liiketoimintayksikkö vastaa tietosuojan resursoinnista ja käytännön toteutuksesta omassa yksikössään. Liiketoimintayksikkö vastaa tietosuojasta myös ulkoistaessaan tietojen käsittelyn. Se huolehtii, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään.


Tietosuojan varmistaminen

Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen ja niistä järjestetään säännöllisesti koulutusta kaikille työntekijöille.

Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus.

Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan konsernin käyttäjähallintaratkaisulla tai muuten dokumentoiduilla menettelyillä. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella kaikista rekisteristä.
Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Lisäksi asiasta ilmoitetaan viipymättä rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi.
Kukin liiketoimintayksikkö tai rekisterinpitäjä arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan.  Kesko-konsernin sisäinen tarkastus tekee tarkastuksia tietosuoja-asioissa osana normaalia tarkastustoimintaansa. 

 

Menettely tietosuojan vaarantuessa

Katsomme tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan. Mikäli arvioimme tietosuojaa vaarantavan toiminnan täyttävän lainsäädännössä kuvatun rangaistavan toiminnan tunnusmerkistön, annamme asian viranomaisten tutkittavaksi.  Jos vaaraa aiheuttava toiminta ei täytä em. tunnusmerkistöä, mutta vaarantaa tietosuojaa, voi asiasta seurata huomautus, varoitus tai työsuhteen päättäminen.

 

Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille

Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan Keskon henkilökunnalle Keskon intranetissä. Lisäksi kulloinkin voimassaoleva tietosuojapolitiikka julkaistaan kesko.fi -sivustolla.  Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi Kesko-konsernissa annetaan sisäisiä ohjeita tietosuoja-asioista.


Tietosuojapolitiikan vahvistaminen

Kesko Oyj:n hallituksen tarkastusvaliokunta on vahvistanut tämän politiikan 23.4.2014.

Takaisin ylös